start på hovedindhold

GDPR for systemejere og -administratorer

Som systemejer og -administrator har du ansvaret for, at dit system lever op til databeskyttelseslovgivningen. Det betyder helt konkret, at du skal udføre en række opgaver, som sikrer, at personoplysningerne i systemet håndteres korrekt.

Ansvar, når du ejer et system

Når kommunen tager et nyt it-system i brug, skal der udpeges en systemejer. Rollen bør besættes af en leder i det fagområde, som har flest brugere af systemet, eller som ejer den opgave, der it-understøttes. Generelle og tværgående systemer ejes som udgangspunkt af chefen for Digitalisering, IT og Borgerservice.

Systemejeren har det overordnede økonomiske, juridiske og driftsmæssige ansvar for systemet, herunder også det databeskyttelsesretlige ansvar. Det er systemejeren, der skal sikre, at systemet overholder gældende regler og at nødvendige sikkerhedsmæssige opgaver løses. Systemejeren kan uddelegere opgaver, men ikke ansvaret, til en systemadministrator.

En systemadministrator er typisk en medarbejder med indgående kendskab til systemet og med administratoradgang. Systemadministratorens rolle er at understøtte systemejeren ved at udføre de praktiske opgaver, som sikrer systemets drift og overholdelse af regler. 

Forstå GDPR og informationssikkerhed
Du behøver ikke være jurist, men du skal vide, at:

  • Persondata skal behandles lovligt og sikker.
  • Du skal kunne forklare, hvordan systemet beskytter data.
  • Du skal reagere, hvis der sker fejl eller brud på sikkerheden.

Opgaver, når du ejer et system:

  • Risikovurdering: Udarbejd en vurdering af systemets risici og dokumentér, hvordan data beskyttes.
  • Konsekvensanalyse: Vurdér konsekvenser for persondata og sikkerhed, hvis systemet svigter eller misbruges. 
  • Føre tilsyn med databehandler: Før tilsyn med leverandøren og besvar GDPR-tilsyn.
  • Brugerkontrol: Sørg for, at kun relevante medarbejdere har adgang, og opdater ved jobskifte/fratrædelse. 
  • Logkontrol: Kontrollér, at brugere ikke tilgår oplysninger uden arbejdsbetinget behov.
  • Sletning: Sikre, at data slettes korrekt og rettidigt i overensstemmelse med reglerne.
  • GDPR-tilsyn: Halvårligt skal du udføre GDPR-tilsyn.

Bemærk, at ovenstående opgaver ikke vil være relevante for alle it-systemer. Nogle it-systemer har fx ingen brugerstyring, mens andre ikke har en databehandler, hvorfor det ikke er relevant at føre tilsyn med en leverandør.

Nye systemer?

Når kommunen tager et nyt IT-system i brug, er det vigtigt, at det sikres, at der indgås de nødvendige databehandleraftaler, og at IT-systemet registreres korrekt i kommunens systemoversigt, KITOS. Kontakt derfor kitos@jammerbugt.dk eller databehandleraftaler@jammerbugt.dk, hvis I er i proces med at indkøbe et nyt IT-system.

For mere vejledning se denne side: Anskaffelser af IT-systemer - TRYK

Databehandleraftale: Skabeloner, vejledninger og procedurer

Centrale begreber

Dataansvarlig
Kommunen er dataansvarlig. Kommunen bestemmer, hvilke personoplysninger der skal behandles, til hvilket formål og hvordan. Den dataansvarlige har det overordnede ansvar for, at reglerne i GDPR bliver overholdt.

Databehandler
En ekstern leverandør – fx et IT-firma – der behandler personoplysninger på vegne af kommunen. Kommunen skal have en databehandleraftale med leverandøren, som beskriver, hvordan data skal håndteres sikkert og lovligt.

Underdatabehandler
En underdatabehandler er en underleverandør, som databehandleren benytter til at udføre hele eller dele af behandlingen af personoplysninger på vegne af kommunen. Underdatabehandleren handler ikke direkte på vegne af kommunen, men på vegne at databehandleren, hvorfor det skal fremgå af databehandleraftalen, hvilke underdatabehandlere der anvendes, samt hvilke krav der stilles til dem.

Systemadministratorens opgaver

Du kan altid finde retningslinjer for systemadministratorer på TRYK-siden: Politik og retningslinjer inden for GDPR - TRYK

Al dokumentation vedr. systemejerskabet skal altid journaliseres i SBSYS. De fleste journaliserer al materiale på samme sag som databehandleraftalen.

Opgaverne omfatter typisk:

Risikovurdering

  • Du skal sikre, at der er udarbejdet en risikovurdering for it-systemet, og at denne årligt revideres.
  • Gode råd til, når du reviderer din risikovurdering, er at overveje om der er sket ændringer i systemet, siden sidste kontrol og om der behandles nye datatyper.
  • Få hjælp til opgaven:
    • Retningslinjer for databehandleraftaler og tilsyn.
    • Skabelon til risikovurdering.

Konsekvensanalyse (DPIA)

  • Du skal sikre, at der udarbejdes en konsekvensanalyse for it-systemet, når behandlingen af personoplysninger kan medføre høj risiko for de registreredes rettigheder og frihedsrettigheder. Konsekvensanalysen skal opdateres ved væsentlige ændringer i systemet eller behandlingen.
  • Når du udarbejder en risikovurdering, er der en metode til screening af hvorvidt der skal udarbejdes en konsekvensanalyse. Følg den angivne vejledning i skabelonen til risikovurderinger.
  • Få hjælp til opgaven:
    • Skabelon til konsekvensanalyse

Risikovurdering: Skabeloner, vejledninger og procedurer

Tilsyn med databehandleren

  • Du skal føre tilsyn med databehandleren og sikre, at databehandleren har ført tilsyn med sine eventuelle underdatabehandlere.

Webinar om tilsyn med databehandlere via DBS-portalen

    • DBS-portalen er en portal, der bliver stillet til rådighed af og vedligeholdt af Det fælleskommunale Databehandlersekretariat (DBS). DBS fører tilsyn med medlemskommunernes databehandlere, hvis der er mere end 10 kommuner, som anvender systemet.
    • Du kan på DBS-portalen undersøge, om dit system er dækket af DBS' tilsyn. Du tilgår DBS-portalen via følgende link: www.dbstilsyn.dk

    • Selvom DBS gennemfører tilsynet på kommunens vegne, skal kommunen stadig dokumentere dette. I videoen herunder har du mulighed for at lære, hvordan du gennemfører et tilsyn med databehandlere ved brug af DBS-portalen. 

 

Webinar om tilsyn med databehandlere via DBS-portalen

Indholdet kan ikke vises pga. de nuværende cookie indstillinger

For at tilgå det blokerede indhold kan du ændre dine cookie-indstillinger.
Indholdet kræver accept af følgende typer cookies:

  • Funktionelle
  • Statistik
  • Marketing

Tilsyn: Skabeloner, vejledninger og procedurer

Brugerkontrol

  • Der skal udarbejdes en procedure for brugerstyring, jf. retningslinjer for brugerautorisationer, med anvendelse af skabelonen ’Procedure for brugerautorisation og kontrol i it-systemer’.
  • Der skal mindst to gange årligt gennemføres kontrol af adgange, jf. retningslinjer for brugerautorisationer, med anvendelse af samme skabelon.
  • Du skal informere og vejlede brugere om korrekt og sikker brug af systemet og gældende regler, hvis det er relevant.

Brugerkontrol: Skabeloner, vejledninger og procedurer

Logkontrol

  • Du skal foretage stikprøver af systemets log to gange årligt for at sikre, at brugere ikke tilgår oplysninger, som de ikke har et arbejdsbetinget behov for.

Hjælp til logkontrol
Det kan være svært at gennemføre kontroller af log, da man ikke altid ved, hvad man leder efter. Det kan også være grænseoverskridende at ’lege politibetjent’ overfor sine kolleger.  Man kan også opleve, at det er svært at få indsigt i logdata, eller at loggen er svær at få noget brugbart ud af. Derfor er det vigtigt at gøre sig nogle gode overvejelser, inden man begynder opgaven.

Brug gerne nedenstående spørgsmål som hjælp hertil, og drøft det gerne med din forvaltnings GDPR-koordinator.

  • Hvilke uregelmæssigheder bør og kan undersøges? Fx logins uden for arbejdstid, tilgang til borgersager uden for eget sagsområde, opslag på sig selv, administratorers særlige beføjelser.
  • Hvilken procedure skal systemadministratoren følge, hvis man finder en uregelmæssighed? Hvilken leder skal forholde sig til fundene?
  • Bør logkontrollen fravælges? Husk at dokumentere fravalget med et notat i SBSYS.

Logkontrol: Skabeloner, vejledninger og procedurer

Sletning

Du skal sikre dig, at der er fastlagt slettefrister for de personoplysninger, som behandles i systemet. Du skal udfylde en procedure for sletning. Hvis der er implementeret sletning i systemet, skal du årligt føre kontrol af, at sletningen foretages korrekt.

Sletning: Skabeloner, vejledninger og procedurer

Sikkerhedsbrud

Hvis der sker et sikkerhedsbrud i dit system, skal du sikre dig, at det anmeldes til sikkerhedsrådgiveren via postkassen sikkerhedsbrud@jammerbugt.dk. Sikkerhedsrådgiveren sørger for, at bruddet bliver håndteret korrekt efter gældende regler, herunder anmeldelse til Datatilsynet og underretning af de berørte personer, hvis det vurderes nødvendigt.

Se kommunens side om håndtering af sikkerhedsbrud her: Sikkerhedsbrud - TRYK

Årshjul og overblik

Det er individuelt, hvordan man tilrettelægger opgaverne med kontroller og tilsyn. Derfor kan det, hvis man er ny i rollen eller har mange systemer, være en fordel at arbejde med fx et årshjul og tjeklister.

Disse værktøjer kan give overblik og sikre, at opgaverne bliver udført regelmæssigt og dokumenteret korrekt. Årshjul hjælper med at fordele opgaverne jævnt over året og skabe struktur og forudsigelighed (ift. logkontrol, brugerkontrol og risikovurdering).

Hjælpemidler

Har du brug for hjælp og vejledning?

Hvis du som systemadministrator er i tvivl om noget eller har brug for støtte, skal du især tage fat i sikkerhedsrådgiveren, GDPR-koordinatorerne eller databeskyttelsesrådgiveren (DPO). 

Du kan finde mere information og kontaktoplysninger her: Få hjælp til GDPR og IT-sikkerhed